教育职能部门电子档案及终端安全

随着教育职能部门信息化发展，管理水平也不断地趋向优化，但是面对繁重的网络安全管理工作，如何提高工作效率，建设完善的内网安全管理体系成为各个教育职能部门进一步发展的又一个重要课题。

一直以来，安全防御理念局限在常规的网关级别（防火墙等）、网络边界（漏洞扫描、安全审计、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是在实际情况下，来自网络内部的安全威胁却是多数网络管理人员真正需要面对的问题。据统计结果表明，80%的安全事件来自与网络内部，而只有20%的安全事件来自于外部。

机关内部员工的安全意识不统一，领导的安全策略难以实施，网络病毒泛滥成为最大的隐患之一。

病毒、蠕虫和间谍软件等新兴网络安全威胁成为机关内的最大隐患之一。移动计算机、移动存储介质、移动便携设备的普及进一步加剧了这个威胁。移动用户能够从家里或公共热点连接互联网，在无意中轻易地感染病毒并将其带进园区网络，进而感染网络。

此外，内部主机通过调制解调器、ADSL 拨号设备、双网卡、无线网卡、3G网卡、蓝牙网卡等网络设备非法接入外部网络，它轻易地从内部网络撕开一条通向外部的秘密通道，外部黑客、木马、病毒、恶意代码容易通过这样的通道，感染内部主机和利用外联主机向外部发送秘密信息。非法外联，使得办公网的众多安全措施形同虚设，绕过了整个网络边界的安全防护措施如部署在网络出口处的防火墙、网络监控工具的监控，对内部网络的安全构成极大威胁。

为了解决这些问题，需要规定终端必须安装杀毒软件，以及及时更新病毒库；终端必须及时安装系统安全补丁；终端必须设置强口令等。但是由于员工安全意识无法统一，机关内的安全管理策略难以通过员工主动去执行，这导致网络安全问题依然严重。

非授权用户任意接入办公网络，信息泄漏成为教育职能部门网络另一大安全隐患

结合机关内部对网络内部安全的要求，大部分单位主要面临的问题如下：

1、终端用户可以随意接入到网络，并连接核心服务器，未经身份信息的认证，并且终端安全性也没有检查，极易引入病毒、恶意代码、信息泄露、非法用户连接业务网络、越权访问等威胁；

2、终端用户未按时安装系统补丁，操作系统的自身漏洞未及时修补，使终端暴露在各种威胁中；

3、网络管理人员编制有限，在统一部署各种软件工具时，需要对全网终端进行安装、维护，占用网管人员大量工作时间；

4、各单位终端数量日益增多的同时，资产管理员依靠传统管理方式进行资产的采集和变更响应，导致资产维护成本升高；

5、内部员工私自安装与工作无关的软件，上班时间登陆与工作无关的网站，影响工作效率；

6、各终端不能及时升级统一安装的杀毒软件到新版本，无法保证终端的健康状态，可能带毒入网；

7、关键人员使用的终端未设置自动启动屏保程序，在人员离开座位后，终端可以被其他人随意使用；

8、网络终端互访的情况无法进行有效控制，使用户可以随意访问其他终端，使用其他终端上的资源；

机密文档经常会有不同程度的安全隐患

随着信息化程度提高，教育职能部门越来越多地利用计算机创建和处理敏感的业务电子信息，在方便快捷的同时也增加了信息被侦听、截获及非法拷贝的危险。尤其教育职能部门在行政活动中使用的诸如财务数据表、人员信息、行政公文、图片等需要保密的敏感信息资源，一旦泄密将使政府的知识产权遭受损失，带来巨大的信息资产损失成本，并给政府的声誉和业务关系带来危害。

教育职能部门在信息保护方面主要是防止如下途径：

1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走；

2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱；

3、内部人员将资料打印后带出；

4、将办公用的电脑直接带回家中或将自己的笔记本电脑带到办公室，接入局域网，窃取资料；

5、电脑易手后，硬盘上的资料没有及时删除，导致泄密；

6、随意将文件设成共享，导致非相关人员获取资料；

因此，必须对机密文档的阅读、修改、分发权限进行管理，才能有效防止信息泄密。

华为赛门铁克Secospace IT内控管理系统安全域划分模型

基于以上原则，华为赛门铁克提出IT内控管理解决方案，通过在现网部署华为赛门铁克Secospace TSM（终端安全管理）系统和Secospace DSM（文档安全管理）系统，分别对接入终端和文档安全进行细颗粒度管理，全方位地解决教育职能部门内部网络管理的问题。

华为赛门铁克的IT内控解决方案中的终端安全解决方案，将提供如下功能：

  ●  安全接入功能

  ●  安全策略管理功能

  ●  行为管理功能

  ●  资产管理功能

  ●  补丁管理功能

  ●  软件分发功能

对于文档的安全性，基于华为赛门铁克的Secospace DSM文档安全管理系统，能够为教育职能部门的文档提供对文件阅读、打印、编辑、复制、权限分发、离线、完全控制等基本权限的控制。为了方便用户进行授权操作，系统将权限分为读取、编辑、完全控制三种级别，用户通过权限级别对文档进行授权，可根据需要调整每种级别的可选权限，并能够支持常用的文档、图片、表格等文件的各种权限的加密行为。

DSM系统中用户管理以个人和部门为单位，根据文档管理的需要，用户还可以灵活定义文档权限分类，定义细化到用户和部门的具体上述权限。